Criptografar comunicação em rede
Para proteger as informações comunicadas, é necessário criptografar a comunicação entre computadores e equipamentos externos.
Dados enviados de e recebidos pelo equipamento podem ser interceptados, violados ou adulterados durante a transmissão. Por exemplo, os seguintes dados podem ser transmitidos entre o equipamento e dispositivos externos ou o computador:
Documentos impressos na empresa usando o driver de impressão
Os documentos verificados são enviados por e-mail para uso em uma reunião
Nome de usuário de login e senha de login
Consulte a tabela abaixo para obter informações sobre os métodos de criptografia de dados.
Dados a serem criptografados | Método de criptografia | Processo/Referência |
|---|---|---|
Web Image Monitor Impressão IPP Autenticação do Windows Autenticação LDAP Transmissão de e-mail | SSL/TLS | Instale um certificado de dispositivo.
|
S/MIME | Instale um certificado de usuário.
| |
Dados de gerenciamento do equipamento | SNMPv3 | Especifique uma senha de criptografia.
|
Informações de autenticação de trabalhos de impressão | Chave de criptografia de driver Autenticação IPP | Especificar uma chave de criptografia de driver Especifique a autenticação IPP.
|
Dados de autenticação Kerberos | Varia dependendo do servidor KDC | Selecione um método de criptografia.
|
O administrador deve gerenciar a expiração dos certificados e renová-los antes de expirarem.
O administrador deve assegurar que o emissor do certificado seja uma autoridade competente.
Instalar um certificado autoassinado/certificado emitido por uma autoridade de certificação
Para criptografar comunicação com o equipamento, instale um certificado de dispositivo.
É possível usar dois certificados de dispositivos: um certificado autoassinado criado pelo equipamento e um certificado emitido pela autoridade de certificação. Se houver necessidade de maior confiabilidade, use um certificado emitido por uma autoridade de certificação.
Instale um certificado de dispositivo do painel de controle ou Web Image Monitor.
Só é possível instalar um certificado autoassinado pelo painel de controle. Para instalar vários certificados ou um certificado emitido por uma autoridade de certificação, especifique as definições no Web Image Monitor.
Instalar um certificado autoassinado pelo painel de controle
Faça login no equipamento como administrador de rede no painel de controle.
Na tela inicial, pressione [Definições].
Na tela Settings, pressione [System Settings].
Pressione [Settings for Administrator]
[Security][Register/Delete Device Certificate].
Selecione [Certificate No. 1] e pressione [Register].
Especifique as informações a serem incluídas no certificado.
Nome comum: insira o nome do certificado de dispositivo a ser criado. Você deve inserir um nome.
Endereço de e-mail: para usar o certificado de dispositivo para S/MIME, Assinatura digital PDF ou Assinatura digital PDF/A, insira o endereço de e-mail do administrador do equipamento.
Especifique Organization, Organizational Unit, e outros itens conforme necessário.
Pressione [OK].
Pressione [Sair].
Pressione [Home] (
), e faça login do equipamento.
Instalar um certificado autoassinado/certificado emitido por uma autoridade de certificação em Web Image Monitor
Faça login no equipamento como administrador de rede em Web Image Monitor.
Clique em [Configuration] no menu [Device Management].
Clique em [Device Certificate] na categoria [Security].
Na tela [Device Certificate], instale um certificado autoassinado ou certificado emitido por uma autoridade de certificação, seguindo as instruções abaixo:
Para instalar um certificado autoassinado
Crie e instale um certificado autoassinado.
Selecione o número na lista para criar um certificado autoassinado.
Clique em [Criar] para especificar as definições necessárias.
Nome comum: insira o nome do certificado de dispositivo a ser criado. Você deve inserir um nome.
Endereço de e-mail: para usar o certificado de dispositivo para S/MIME, Assinatura digital PDF ou Assinatura digital PDF/A, insira o endereço de e-mail do administrador do equipamento.
Especifique [Organization], [Organizational Unit] e outros itens conforme necessário.
Clique em [OK].
"Installed" é exibido em [Certificate Status].
Para instalar um certificado emitido por uma autoridade de certificação
Solicite um certificado de dispositivo de uma autoridade de certificação e instale-o. Siga as mesmas etapas para instalar um certificado intermediário.
Selecione o número na lista para criar um certificado de dispositivo.
Clique em [Solicitar] para especificar as definições necessárias.
Clique em [OK].
"Requesting" é exibido em [Certificate Status].
Solicite um certificado de dispositivo à autoridade de certificação.
Não é possível solicitar a autoridade de certificação no Web Image Monitor. O processo de solicitação varia de acordo com a autoridade de certificação. Para obter mais informações, contate a autoridade de certificação.
Para solicitar, clique no ícone Details
e use as informações que aparecem na tela [Certificate Details].Se você pedir vários certificados ao mesmo tempo, o local da emissão pode não ser exibido. Quando você instala um certificado, não se esqueça de verificar o destino e o processo de instalação do certificado.
Após a emissão do certificado de dispositivo pela autoridade de certificação, selecione o número do certificado emitido da lista na tela [Device Certificate] e clique em [Install].
Insira o conteúdo do certificado do dispositivo nos campos de entrada.
Para instalar o certificado intermediário ao mesmo tempo, insira também o conteúdo do certificado intermediário.
Se um certificado intermediário emitido pela autoridade de certificação não estiver instalado, será exibida uma mensagem de alerta durante a comunicação de rede. Se um certificado intermediário tiver sido emitido por uma autoridade de certificação, você deverá instalar o certificado intermediário.
Clique em [OK].
"Installed" é exibido em [Certificate Status].
Após a conclusão da instalação, selecione o certificado para cada candidatura em [Certification].
Clique em [OK].
Faça logout do equipamento e do navegador da Web.
Para imprimir dados no equipamento usando IPP-SSL, o usuário deve instalar um certificado no computador. Selecione [Trusted Root Certification Authorities] como o local de armazenamento de certificados quando acessar o equipamento usando IPP.
Para alterar [Common Name] do certificado do dispositivo ao usar a porta IPP padrão do Windows, exclua a impressora anteriormente configurada no PC e instale o driver de impressão novamente. Além disso, para alterar as definições de autenticação de usuário (nome de usuário de login e senha de login), exclua primeiro a impressora anteriormente configurada no PC, altere as definições de autenticação e, em seguida, instale o driver de impressão novamente.
Criptografar transmissão usando SSL/TLS
SSL (Protocolo SSL)/TLS (Protocolo TLS) é um método para criptografar comunicações em rede. SSL/TLS evita que os dados sejam interceptados, violados ou adulterados.
Fluxo de comunicações criptografadas por SSL/TLS
O computador do usuário solicita o certificado do dispositivo SSL/TLS e a chave pública ao acessar o equipamento.
O certificado de dispositivo e a chave pública são enviados do equipamento para o computador do usuário.
A chave compartilhada criada no computador é criptografada usando a chave pública, enviada para o equipamento e descriptografada usando a chave privada no equipamento.
A chave compartilhada é usada para criptografia e descriptografia de dados, proporcionando, assim, uma transmissão segura.
Para habilitar comunicação criptografada, instale previamente um certificado de dispositivo no equipamento.
Para criptografar a comunicação usando SSL/TLS, habilite SSL/TLS da seguinte forma:
Para verificar se a configuração SSL/TLS está ativa, insira "https://(endereço IP ou nome de host do equipamento)/" na barra de endereços do navegador da Web para acessar este equipamento. Se aparecer a mensagem "A página não pode ser exibida", verifique a configuração, pois a configuração SSL/TLS atual não é válida.
Se você ativar SSL/TLS para IPP (funções de impressora), os dados enviados serão criptografados, evitando que sejam interceptados, analisados ou manipulados.
Ativar SSL/TLS
Faça login no equipamento como administrador de rede em Web Image Monitor.
Clique em [Configuration] no menu [Device Management].
Clique em [SSL/TLS] na categoria [Security].
Selecione o protocolo para habilitar a comunicação criptografada em [SSL/TLS] para especificar os detalhes sobre o método de comunicação.
Permitir comunicação SSL/TLS: selecione um dos modos de comunicação de criptografia abaixo:
Prioridade de texto cifrado: executa a comunicação criptografada quando um certificado de dispositivo é criado. Se não for possível executar a criptografia, o equipamento comunicará os dados em texto não criptografado.
Texto cifrado/Texto não criptografado: executa a comunicação criptografada durante a conexão com o equipamento usando um endereço "https" em um navegador. Comunica em texto não criptografado durante a conexão com o equipamento usando um endereço "http".
Somente texto cifrado: permite apenas comunicação criptografada. Se não for possível executar a criptografia por algum motivo, o equipamento não conseguirá estabelecer comunicação. Nesse caso, pressione [System Settings]
[Network/Interface][Communication Security][Permit SSL/TLS Communication] no painel de controle, altere o modo de comunicação para [Ciphertext/Cleartext] temporariamente e verifique as definições.
Versão do SSL/TLS: Especifique TLS 1.2, TLS 1.1, TLS 1.0 e SSL 3.0 para habilitação ou desabilitação. Pelo menos um desses protocolos deve estar ativado.
Definição do grau de criptografia: especifique o algoritmo de criptografia para aplicar a AES, 3DES e RC4. Você deve marcar, pelo menos, uma caixa de seleção.
KEY EXCHANGE: especifique se deseja habilitar ou desabilitar a troca da chave RSA.
DIGEST: especifique se SHA-1 DIGEST deve ser habilitado ou desabilitado.
Clique em [OK].
Faça logout do equipamento e do navegador da Web.
Para criptografar comunicações com o servidor SMTP, use o procedimento a seguir para alterar [Use Secure Connection (SSL)] para [On].
Dependendo dos estados especificados para TLS 1.2, TLS 1.1, TLS 1.0 e SSL 3.0, o dispositivo pode não conseguir se conectar a um servidor LDAP externo.
Habilitar SSL para conexão SMTP
Faça login no equipamento como administrador de rede no painel de controle.
Na tela inicial, pressione [Definições].
Na tela Settings, pressione [System Settings].
Pressione [Send (Email/Folder)][Email][SMTP Server].
Na lista ao lado de Use Secure Connection (SSL), selecione [On].
Após a conclusão da configuração, o número da porta muda para 465 (SMTP over SSL). Ao usar SMTP over TLS (STARTTLS) para criptografia, altere o número da porta para 587.
Quando você especifica o número da porta para um número diferente de 465 e 587, a comunicação é criptografada de acordo com a definição no servidor SMTP.
Pressione [OK].
Pressione [Home] (), e faça login do equipamento.
Quando SSL é habilitado no servidor SMTP, o Internet Fax sempre é enviado pelo servidor SMTP.
Criptografar e-mails enviados do equipamento por S/MIME
S/MIME (Secure/Multipurpose Internet Mail Extensions) é um método de criptografia destinado a melhorar a segurança das comunicações de e-mail. Ao especificar S/MIME, você pode enviar um e-mail criptografado anexando um arquivo criptografado ou uma assinatura eletrônica.
Para usar S/MIME, primeiro você deve especificar [Definições do sistema]
[Enviar (E-mail/Pasta) ][E-mail][Endereço de e-mail do administrador]
Quando você envia e-mails a usuários cujos clientes de e-mail suportem S/MIME e a usuários cujos clientes não suportem, apenas e-mails enviados para clientes que suportem S/MIME serão criptografados.
O destinatário deve usar um software que suporte S/MIME.
Você pode aplicar a criptografia de e-mail ou assinatura eletrônica ou ambas as funções em conjunto.
Ao enviar um e-mail anexado com uma assinatura eletrônica, você não necessita do certificado de usuário. Instale um certificado de dispositivo e especifique a assinatura eletrônica para anexar ao e-mail. Para maiores informações sobre a instalação de um certificado de dispositivo, consulte a seção abaixo:
Instalar um certificado autoassinado/certificado emitido por uma autoridade de certificação
Ao utilizar S/MIME, o tamanho do e-mail é maior do que o normal.
Para maiores informações sobre o uso de S/MIME com a função de scanner, consulte a seção abaixo:
Guia do usuário em inglês
Para maiores informações sobre o uso de S/MIME com a função de fax, consulte a seção abaixo:
Guia do usuário em inglês
Registre um certificado de usuário para o usuário que receberá e-mails
Para enviar um e-mail criptografado, registre, primeiro, um certificado de usuário para o usuário que receberá o e-mail.
Prepare previamente a certificação de usuário. Você pode registrar três tipos de certificados de usuário no equipamento: "DER Encoded Binary X.509", "Base 64 Encoded X.509" e "PKCS #7 certificate".
Faça login no equipamento como administrador de usuário no Web Image Monitor.
Clique em [Address Book] no menu [Device Management].
Selecione o usuário para instalar o certificado e, em seguida, clique em [Alterar] na guia [Entrada detalhada].
Na categoria [Email], especifique as definições necessárias.
Endereço de e-mail: insira o endereço de e-mail do usuário.
Certificado de usuário: clique em [Alterar] e especifique o certificado de usuário a ser usado.
Clique em [OK].
Faça logout do equipamento e do navegador da Web.
Use o seguinte procedimento para especificar os detalhes de criptografia a ser habilitada.
Ao instalar um certificado de usuário no Catálogo de endereços utilizando o Web Image Monitor, talvez você veja uma mensagem de erro se o arquivo do certificado contiver mais de um certificado. Se este for o caso, instale os certificados um de cada vez.
Após o período válido do certificado de usuário selecionado, as mensagens criptografadas não poderão mais ser enviadas. Selecione um certificado que esteja dentro do período de validade.
Configurar o algoritmo de criptografia e anexo de uma assinatura eletrônica
Faça login no equipamento como administrador de rede em Web Image Monitor.
Clique em [Configuration] no menu [Device Management].
Clique em [S/MIME] na categoriq [Security].
Configure a criptografia de e-mail e a assinatura eletrônica.
Criptografia
Algoritmo de criptografia: selecione o algoritmo de criptografia da chave compartilhada usada para criptografar e-mails com S/MIME. Selecione o algoritmo de criptografia que é suportado pelo software de e-mail do usuário.
Assinatura
Status do certificado: o certificado especificado para S/MIME é exibido.
Algoritmo digest: selecione o algoritmo digest a ser usado para a assinatura eletrônica.
Ao enviar e-mail pelo scanner, Ao transferir por fax, Ao enviar e-mail por fax, Ao enviar resultados de TX de e-mail por fax, Ao transferir arquivos armazenados no servidor de documentos (Utilitário): especifique se deseja selecionar o método para anexar uma assinatura eletrônica em cada função ao enviar ou transferir e-mails ou documentos.
Modo de operação
Modo de operação: selecione o tempo no qual o período de validade de um certificado é verificado.
Performance Priority: o período de validade de um certificado de usuário é verificado quando você seleciona o endereço. O período de validade de um certificado de dispositivo é verificado quando você pressiona [Iniciar]. Apesar de não cumprir as Normas internacionais de avaliação relativas à segurança da informação (Autenticação CC), responde ao usuário mais rapidamente do que quando a opção [Security Priority] é selecionada.
Security Priority: o período de validade é verificado quando você seleciona o endereço e pressiona [Iniciar]. Demora algum tempo a responder ao usuário e é realizado adequadamente em condições que cumprem as Normas internacionais de avaliação relativamente à segurança de informações (Autenticação CC).
Clique em [OK].
Faça logout do equipamento e do navegador da Web.
Ao anexar uma assinatura eletrônica a um e-mail, o endereço de e-mail do administrador é usado em [From] e o endereço de e-mail do usuário selecionado como [Sender] é usado em [Reply-to].
Se um certificado era válido quando foi transmitido, mas expirou antes de recuperar o e-mail do servidor de e-mails para o computador cliente, o e-mail não poderá ser recuperado.
Caso ocorra um erro fora do período de validade quando um e-mail for enviado automaticamente utilizando a transmissão de memória ou em um determinado momento, o erro é reportado com um e-mail em texto criptografado para o endereço de e-mail do remetente ou administrador. Quando a função de coleta de logs de trabalho é habilitada, você pode consultar os detalhes de erro no log de trabalhos.
Se o certificado de dispositivo selecionado expirar, as assinaturas não poderão ser anexadas a PDFs. Selecione um certificado que esteja dentro do período de validade.
O algoritmo de assinatura para a assinatura digital do certificado de dispositivo que pode ser anexado aos arquivos PDF/A é "sha1WithRSA-1024".
Criptografar dados comunicados com o software de gerenciamento de equipamento via SNMPv3
Ao monitorar dispositivos usando o Device Manager NX via rede, você pode criptografar os dados transmitidos usando o protocolo SNMPv3.
Faça login no equipamento como administrador de rede no painel de controle.
Na tela inicial, pressione [Definições].
Na tela Settings, pressione [System Settings].
Pressione [Network/Interface][Permit SNMPv3 Communication].
Na lista ao lado de Permit SNMPv3 Communication, selecione [Encryption Only].
Pressione [OK].
Pressione [Home] (), e faça login do equipamento.
Para alterar as definições especificadas no equipamento em Device Manager NX, especifique a senha de criptografia para o administrador de rede em [Programar/Alterar administrador] e, em seguida, registre a senha de criptografia na conta SNMP do Device Manager NX.
Se a definição da [Senha de criptografia] do administrador da rede não estiver especificada, os dados para transmissão podem não ser criptografados ou enviados. Para obter mais informações sobre como especificar a definição de senha de criptografia de administrador de rede, consulte a seção abaixo:
Criptografar a senha de login de trabalhos de impressão
É possível criptografar a senha de login para o driver de impressão e a senha para impressão IPP para aumentar a segurança contra quebra de senha.
Para executar a impressão em uma LAN em um escritório, especifique a chave de criptografia de driver.
Para executar a impressão IPP de uma rede externa, criptografe a senha de uma impressão IPP.
Especificar uma chave de criptografia de driver para criptografar senhas
Especifique a chave de criptografia de driver especificada no equipamento também para o driver de impressão para criptografar e descriptografar senhas.
Faça login no equipamento como administrador de rede no painel de controle.
Na tela inicial, pressione [Definições].
Na tela Settings, pressione [System Settings].
Pressione [Settings for Administrator][Security][Extended Security Settings].
Pressione [Change] ao lado de Driver Encryption Key.
Digite a senha a ser usada como chave de criptografia do driver e pressione [Done].
Digite novamente a senha de Confirm Password e pressione [Done].
Pressione [OK] duas vezes.
Pressione [Home] (), e faça login do equipamento.
O administrador da rede deve fornecer aos usuários a chave de criptografia especificada no equipamento para que eles possam registrá-la em seus computadores.
Certifique-se de inserir a mesma chave de criptografia de driver especificada no equipamento.
Ao usar um driver de impressão PCL 6, você pode inserir a chave de criptografia de driver na aba [Printer Properties]
the [Advanced Options].
Também é possível criptografar o próprio trabalho de impressão. Para maiores informações, consulte a seção abaixo.
User Guide em inglês
Para mais informações sobre como especificar a chave de criptografia no driver de impressão ou TWAIN, consulte a ajuda do driver.
Para mais informações sobre como especificar a chave de criptografia no driver de LAN-FAX, consulte a Ajuda do driver de LAN-FAX.
Criptografar a senha de impressão IPP
Ao imprimir usando o protocolo IPP, especifique o método de autenticação para [DIGEST] para criptografar a senha de autenticação IPP. Registre o nome de usuário e a senha para autenticação IPP separadamente das informações de usuário no Catálogo de endereços.
Faça login no equipamento como administrador de rede em Web Image Monitor.
Clique em [Configuration] no menu [Device Management].
Clique em [IPP Authentication] na categoria [Security].
Selecione [DIGEST] em [Authentication].
Insira o Nome de usuário e a Senha.
Clique em [Ligado] de "Função de autenticação do usuário da unidade principal" para usar as informações de autenticação do usuário especificadas no equipamento em vez do nome do usuário e senha para autenticação IPP.
Clique em [OK].
Faça logoff do equipamento e do navegador da Web.
Criptografar comunicação entre KDC e o equipamento
Você pode criptografar comunicações entre o equipamento e o servidor do Key Distribution Center (KDC) ao usar autenticação Kerberos com autenticação do Windows ou LDAP para garantir a comunicação.
O algoritmo de criptografia suportado varia de acordo com o tipo de servidor KDC.
Faça login como administrador do equipamento no Web Image Monitor.
Clique em [Configuration] no menu [Device Management].
Clique em [Kerberos Authentication] na categoria [Device Settings].
Selecione o algoritmo de criptografia a ser habilitado.
Apenas Heimdal suporta DES3-CBC-SHA1.
Para usar DES-CBC-MD5 no Windows Server 2008 R2 ou posterior, habilite-o nas definições do sistema operacional.
Clique em [OK].
Faça logout do equipamento e do navegador da Web.